Quais são os motivos para não permitir o ICMP no meu servidor?

8

Uma instância do EC2 tem serviços ICMP desativados por padrão. Embora não esteja totalmente claro para mim por que, acho que é porque poderia ser um risco de segurança em potencial. No momento, estou ativando o Echo Responses apenas quando estou reiniciando o servidor para que eu possa ver se está funcionando e funcionando, mas quando ele ficou on-line, estou desabilitando-o novamente. Isso é necessário? Quais são as razões para desativar o ICMP em geral?

    
por 3k- 27.03.2013 / 13:03

4 respostas

16

ICMP consiste em uma grande coleção de comandos. Não é permitido todos que irão quebrar sua rede de maneiras estranhas.

O ICMP permite que coisas como "traceroute" e "ping" (solicitação de eco ICMP) funcionem. Assim, essa parte é bastante útil para diagnósticos normais. Ele também é usado para feedback quando você executa um servidor DNS (porta inacessível) que, em um servidor DNS moderno, pode realmente ajudar a selecionar uma máquina diferente para consulta mais rápida.

O ICMP é usado para a descoberta do caminho MTU. As chances são de seus conjuntos de SO "DF" (não fragmentar) nos pacotes TCP que ele envia. Ele espera obter um pacote ICMP "fragmentation required" de volta se algo ao longo do caminho falhar em lidar com esse tamanho de pacote. Se você bloquear o all ICMP, sua máquina terá que usar outros mecanismos de fallback, que basicamente usam um tempo limite para detectar um "buraco negro" de PMTU e nunca otimizarão corretamente.

Provavelmente, existem mais alguns bons motivos para ativar a maioria do ICMP.

Agora, sua pergunta: por que desativar:

Razões para desativar parte do ICMP são:

  • Proteção contra worms antigos que usavam o pedido de eco ICMP (também conhecido como ping) para ver se um host estava vivo antes de tentar atacá-lo. Hoje em dia, um worm moderno tenta de qualquer maneira, fazendo com que isso não seja mais eficaz.
  • Escondendo sua infraestrutura. Se você quiser fazer isso, por favor, bloqueie-o na borda da sua rede. Não em todos os computadores. Isso fará com que seu administrador puxe todo o cabelo de sua cabeça em frustração quando algo der errado e todas as ferramentas de análise falharem. (Nesse caso: a Amazon poderia bloqueá-lo na borda da nuvem).
  • Ataques de negação de serviço com base no ICMP. Trate-os da mesma forma que outros ataques do DOS: limite de taxa.
  • O único válido: se você estiver em uma rede insegura, talvez queira bloquear ou desativar o comando de alteração do roteador. Obfix: use seus servidores em uma rede segura.

Observe que há manuais de "proteção do servidor" que recomendam bloquear o ICMP. Eles estão errados (ou pelo menos não detalhados o suficiente). Eles se enquadram na mesma categoria da 'segurança' sem fio via filtragem de MAC ou ocultando o SSID.

    
por 27.03.2013 / 13:32
1

Blocos ICMP são feitos por alguns motivos, mas principalmente para ocultar informações de investigações que tentam identificar e definir o perfil da sua rede. Existem também vários tipos de ataques a roteadores e sistemas finais de acesso público que usam o tráfego ICMP como parte da exploração.

no seu caso, você provavelmente pode permitir respostas de eco, embora isso faça com que você seja notado por mais sondagens. ataques como DDOS baseados em ping e ataques de smurf são amplamente mitigados nos dias de hoje.

link

    
por 27.03.2013 / 13:12
0

O maior risco de ICMP em um servidor com acesso à Internet é o aumento da área de superfície para o ataque de negação de serviço (DoS).

    
por 27.03.2013 / 13:39
0

Sugiro evitar a inundação de solicitações ICMP usando iptables em vez de bloqueá-las permanentemente:

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/minute --limit-burst 100 -j ACCEPT
    
por 06.08.2015 / 00:11